策略路由培訓(xùn)

策略路由靜態(tài)路由培訓(xùn)華為公司數(shù)據(jù)通信VRP測試部內(nèi)容策略路由組播策略路由靜態(tài)路由策略路由的引入普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。PC1PC2RTARTBRTCRTDS1/0/0E1/2/0<ne16>disiproRoutingTable:publicnetDestination/MaskProtocolPreCostNexthopInterface0.0.0.0/0RIP1001200.200.203.2GE11/1/00.0.0.0/32RIP1001200.200.203.2GE11/1/01.0.0.0/8STATIC60011.110.0.1Ethernet12/2/04.4.4.0/24DIRECT004.4.4.4Ethernet12/2/0.2004.4.4.4/32DIRECT00127.0.0.1InLoopBack05.0.0.0/8RIP1001200.200.203.2GE11/1/0策略路由的引入普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。但是遇到如下情況如何解決？？？1、根據(jù)源IP來控制報文的轉(zhuǎn)發(fā)。即控制來自PC1的報文通過接口S1/0/0轉(zhuǎn)發(fā)，來自PC2的報文通過接口E1/2/0轉(zhuǎn)發(fā)？2、根據(jù)報文的長度來控制報文的轉(zhuǎn)發(fā)。3、根據(jù)報文的其他屬性來控制報文的轉(zhuǎn)發(fā)。PC1PC2RTARTBRTCRTDS1/0/0E1/2/0策略路由和路由策略的區(qū)別這是兩個不同的概念，應(yīng)用領(lǐng)域不同。策略路由主要是控制報文的轉(zhuǎn)發(fā)，即可以不按照路由表進行報文的轉(zhuǎn)發(fā)（因為一般報文的轉(zhuǎn)發(fā)要通過查找轉(zhuǎn)發(fā)表，而配上策略路由后就不用管轉(zhuǎn)發(fā)表了，可以隨心所欲將報文從轉(zhuǎn)發(fā)出去了）。路由策略主要控制路由信息的引入（控制哪些路由信息引到路由協(xié)議中，哪些路由器不引入，主要是針對某種路由協(xié)議，是否允許其它路由信息引進來）、發(fā)布（控制哪些發(fā)布出去，哪些不發(fā)布出去，通過同一種路由協(xié)議發(fā)布出去）、接收（控制哪些接收，哪些丟棄，）。

策略路由概念策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。VRP策略路由支持基于acl包過濾、地址長度等信息，靈活地指定路由。而acl報文過濾則可以根據(jù)報文的源ip、目的ip、協(xié)議、端口號、優(yōu)先級、tos、時間段、vpn等各種豐富的信息將報文分類，然后控制將這些報文按照不同的路由轉(zhuǎn)發(fā)出去。

策略路由的分類單播報文RTARTBRTCRTDRTFRTE我是組播策略，組播報文聽我指揮，該報文從接口e1/0和s0/0轉(zhuǎn)發(fā)我是單播策略，單播報文聽我指揮，該報文從接口e0/0轉(zhuǎn)發(fā)組播報文按報文分類：分為單播策略路由（針對單播報文進行控制）和組播策略路由（只對組播報文進行控制）策略路由的分類（續(xù)）策略路由既可以應(yīng)用于轉(zhuǎn)發(fā)報文，又可應(yīng)用于路由器本地產(chǎn)生的報文。前者稱為接口策略路由，后者稱為本地策略路由。接口策略路由只對轉(zhuǎn)發(fā)的報文起作用，對本地產(chǎn)生的報文（比如本地的ping報文）不起作用。而本地策略路由只對本地產(chǎn)生的報文起作用，對轉(zhuǎn)發(fā)的報文不起作用。接口策略路由配置在接口視圖下。本地產(chǎn)生的報文的策略路由配置在系統(tǒng)視圖下。注意：組播策略路由只支持轉(zhuǎn)發(fā)的報文，不對路由器本機產(chǎn)生的報文進行策略路由。策略路由的基本配置一個路由器可以配置多條策略，一條策略由多個策略節(jié)點組成，一個策略節(jié)點由多條匹配項和多條操作項組成。route-policyroute_policy_namepermitnode10if-matchacl3000applyoutput-interfaceEthernet1/1/0route-policyroute_policy_namedenynode20if-matchacl2000名稱動作節(jié)點匹配項操作項節(jié)點10節(jié)點20一條策略策略路由的使能接口策略路由的使能：

接口視圖下：

interfaceEthernet1/1/0ipaddress11.110.0.1255.255.255.0

ippolicyroute-policyroute_policy_name1本地策略路由的使能：

系統(tǒng)視圖下：

iplocalpolicyroute-policyroute_policy_name1組播策略路由的使能：

接口視圖下：

interfaceEthernet1/1/0ipaddress11.110.0.1255.255.255.0

ipmulticast-policyroute-policyroute_policy_name1使能信息的查看單播：[8070a]displayippolicyRoute-policyInterfaceroute_policy_name1localroute_policy_name1Ethernet1/1/0組播：[8070a]displayipmulticast-policyRoute-policyInterfaceroute_policy_name1Ethernet1/1/0調(diào)試信息的查看單播：<8070a>debuggingippolicy組播：debuggingipmulticast-policydebuggingmulticastforwarding

匹配原則概述Route-policy:route_policy_namepermit10:if-matchacl3000if-matchpacket-length100500applyoutput-interfaceEthernet1/1/0//有多個匹配項deny20:if-matchacl2000//只有匹配項permit30:if-matchacl3100permit40: applyoutput-interfaceEthernet1/1/0//只有操作項permit50:applyoutput-interfaceEthernet1/1/0deny60://匹配項和操作項都沒有permit70:permit80:if-matchacl3000applyoutput-interfaceEthernet1/1/0serial1/0/0applyip-addressnext-hop1.1.1.1//有多個操作項

匹配項定義什么節(jié)點？匹配否？ PermitDenyMatch（所有條件都滿足）執(zhí)行退出不執(zhí)行退出Notmatch（任意一個不滿足）不執(zhí)行繼續(xù)不執(zhí)行繼續(xù)注意：1、只有滿足所有的if－match，才算匹配，即各匹配條件是與的關(guān)系。2、“匹配退出，不匹配繼續(xù)”的原則。即只要任意一個節(jié)點滿足匹配，則不再繼續(xù)往下匹配，如果不匹配則繼續(xù)匹配下一個節(jié)點。匹配項就是if-match語句，根據(jù)這些匹配項將報文按照某個規(guī)則進行分類，分為滿足規(guī)則和不滿足規(guī)則兩類。操作項操作項就是apply語句，也就是滿足匹配項的報文將怎么處理、從哪個接口轉(zhuǎn)發(fā)出去。route-policynpermitnode0if-matchacl2000if-matchpacket-length100500applyip-precedencepriorityapplyoutput-interfaceSerial1/0/0Ethernet1/1/0applydefaultoutput-interfaceSerial1/0/0applyip-addressnext-hop1.1.1.1applyip-addressdefaultnext-hop2.2.2.23.3.3.3一個單播報文只能轉(zhuǎn)發(fā)一次，即只能從某個接口轉(zhuǎn)發(fā)出去轉(zhuǎn)發(fā)接口的優(yōu)先級策略路由的出接口策略路由的下一跳路由表中下一跳策略路由的缺省出接口策略路由的缺省下一跳低高轉(zhuǎn)發(fā)優(yōu)先級以上只針對單播報文，不包括組播報文。當(dāng)配置有優(yōu)先級高的策略，則優(yōu)先級低的配置將被忽略。單播策略路由可以同時配置兩個下一跳或設(shè)置兩個出接口，報文轉(zhuǎn)發(fā)將采用負(fù)載分擔(dān)的方式進行。報文匹配的其它策略注意事項：1、如果只添加一個節(jié)點而沒有任何匹配項和設(shè)置操作項，則所有報文都匹配，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。2、如果添加一個節(jié)點，只有匹配項，沒有設(shè)置操作項，則進行匹配，但不執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。3、如果添加一個節(jié)點，沒有匹配項，有設(shè)置操作項，則所有報文都匹配，根據(jù)permit/deny執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字改變。4、如果匹配項中使用的acl根本不存在，則缺省是不匹配任何報文。5、當(dāng)直接出接口指定為本地的以太網(wǎng)接口、子接口、Virtual-Template接口時，雖然從指定接口轉(zhuǎn)發(fā)，但不能正常通信，因為這幾個接口是廣播域，不能確定下一跳，因此必須指定為下一跳。

6、當(dāng)配置deny的節(jié)點時，對于單播策略路由來說，節(jié)點的apply命令行等于沒配置一樣，數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā)，因此沒有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計信息；對于組播策略路由來說，數(shù)據(jù)包將直接丟棄，不查詢組播路由表，有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計信息。單播報文轉(zhuǎn)發(fā)流程YYYYYYY策略路由配置有出接口嗎？策略路由配置有下一跳嗎？路由表中有下一跳嗎？策略路由配置有缺省接口嗎？策略路由配置有缺省下一跳嗎？策略路由有設(shè)置優(yōu)先級嗎？丟棄該報文，發(fā)ICMP_UNREACH配置有本地策略路由嗎？本地報文發(fā)送流程按正常流程發(fā)送報文根據(jù)策略設(shè)置報文優(yōu)先級發(fā)送報文到該出接口發(fā)送報文到該下一跳發(fā)送報文到該下一跳發(fā)送報文到該缺省下一跳結(jié)束發(fā)送報文到該缺省接口對來自外部的轉(zhuǎn)發(fā)報文首先判斷有接口策略路由嗎組播策略路由和單播策略路由的區(qū)別：1、報文不一樣。單播報文就是以A、B、C類ip地址為目的地址的報文，組播報文就是以224.0.0.0~239.255.255.255為目的地址的報文。2、配置不一樣。組播策略路由的配置中apply必須包含acl。3、配置作用域不一樣。單播策略路由的配置僅對單播報文起作用，組播策略路由的配置僅對組播報文起作用。即apply中包含有acl的對組播報文起作用，對單播報文不起作用；apply中不包含有acl的對單播報文起作用，對組播報文不起作用。4、當(dāng)單播同時配置有出接口和下一跳時，則只從出接口轉(zhuǎn)發(fā)，不從下一跳轉(zhuǎn)發(fā)。當(dāng)組播同時配置有出接口和下一跳時，則既從各個出接口轉(zhuǎn)發(fā)（可能有多個），也從各個下一跳轉(zhuǎn)發(fā)（也可能有多個），但是最多只能從64個接口轉(zhuǎn)發(fā)。

組播策略路由的配置route-policynpermitnode0if-matchacl2000applyoutput-interfaceacl1000applyip-addressnext-hopacl2000組播策略路由只支持如下三條命令注意：當(dāng)一個接口同時配置有單播策略路由和組播策略路由時，只有單播策略路由起作用，并且組播報文按照單播進行轉(zhuǎn)發(fā)。組播策略路由只支持轉(zhuǎn)發(fā)的報文，不對路由器本機產(chǎn)生的報文進行策略路由。組播轉(zhuǎn)發(fā)邊界當(dāng)一個接口配置了組播轉(zhuǎn)發(fā)邊界以后，從該接口接收的報文和從該接口發(fā)出的報文（包括本機發(fā)出的報文）都將按照配置的acl策略進行過濾。其中，對于從該接口接收的報文，先按照組播轉(zhuǎn)發(fā)邊界進行過濾，再執(zhí)行可能的組播策略路由處理。組播轉(zhuǎn)發(fā)邊界可配置在所有支持組播報文轉(zhuǎn)發(fā)的接口上。在入接口和出接口都進行檢查。組播轉(zhuǎn)發(fā)邊界配置在接口視圖下：multicastpacket-boundaryacl-number3000打開debugmulticastforwarding可以察看報文的丟棄信息。組播轉(zhuǎn)發(fā)報文的最小TTL值在接口上配置組播轉(zhuǎn)發(fā)報文的最小TTL值后，當(dāng)要將一個報文從該接口轉(zhuǎn)發(fā)出去時（包括本機發(fā)出的報文），對接口上配置的最小TTL值進行檢查，若報文TTL值（報文TTL已在本路由器內(nèi)減1）大于接口上配置的最小TTL值，則轉(zhuǎn)發(fā)該報文；若報文TTL值小于或等于接口上配置的最小TTL值，則丟棄該報文。組播轉(zhuǎn)發(fā)TTL值可配置在所有支持組播報文轉(zhuǎn)發(fā)的接口上。ttl檢測只有在出接口進行。組播轉(zhuǎn)發(fā)報文的最小TTL值

在接口視圖下：multicastminimum-ttl200打開debugmulticastforwarding可以察看報文的丟棄信息。組播報文策略路由的流程組播報文入接口組播邊界檢查配置組播策略路由嗎？滿足if－match條件嗎？出接口組播邊界檢查出接口TTL閾值檢查通過路由表轉(zhuǎn)發(fā)策略路由指定接口轉(zhuǎn)發(fā)YN內(nèi)容策略路由組播策略路由靜態(tài)路由靜態(tài)路由概述靜態(tài)路由是一種特殊的路由，它由管理員手工配置靜態(tài)路由的優(yōu)點：配置簡單，不占用鏈路帶寬。靜態(tài)路由的缺點：不能反映鏈路的動態(tài)變化，網(wǎng)絡(luò)較大時配置和修改比較繁瑣。建議：一般STUB網(wǎng)絡(luò)使用靜態(tài)路由。基本配置：iproute-staticdest-address{mask|mask-length}{interface-name[nexthop-address]|nexthop-address}[preference

preference-value][reject|blackhole]

reject：任何去往該目的地的IP報文都將被丟棄，并且通知源主機目的地不可達(dá)。blackhole：任何去往該目的地的IP報